作者:来自 Tommy Bumford
了解 SRE 不断扩展的角色以及所需的新技能:成本管理和 AI。
通过 AI 驱动的报告为分析师提供支持
在不断发展的网络安全领域,威胁分析师不断被新的威胁情报 (threat intelligence - TI) 数据淹没。挑战不仅在于理解和缓解这些威胁,还在于有效地记录和报告这些威胁。传统的威胁情报报告方法可能非常耗时,而且通常需要对细节一丝不苟。为了解决这个问题,我们引入了一种简化的方法,使用 Elastic AI Assistant for Security 来帮助编写这些报告。此方法使用 markdown 模板和 Elastic AI Assistant 的知识库来生成全面而高效的报告。
转变威胁情报文档和报告
威胁分析师在识别和减轻潜在威胁方面发挥着至关重要的作用。然而,记录这些威胁的过程可能很费力。通过使用 Elastic AI Assistant for Security,分析师可以更多地专注于分析威胁,而不是繁琐的报告方面。通过使用 Elastic AI Assistant for Security,我们可以从开源威胁报告中提取相关信息,并使用存储在 AI Assistant 知识库中的模板对这些信息进行格式化。这种方法不是威胁分析师的替代品,而是一种提高他们效率的工具。
使用 Elastic AI Assistant for Security,威胁情报专业人员能够以有利于其报告工作流程的标准化格式分析他们所报告主题的信息。这通过消除收集和规范特定报告的威胁数据的许多手动步骤节省了大量时间。
生成威胁报告的九个步骤
每个威胁情报程序都有自己的生成威胁报告的流程。在 Elastic,我们将此流程分解为以下九个步骤。但是,使用 Elastic AI Assistant 的基本概念可以修改并纳入几乎任何生成威胁报告的工作流程中:
- 了解所需的报告类型。
- 为每种报告类型创建模板。
- 使用 Elastic AI Assistant 将这些模板存储在知识库中。
- 开发一种收集威胁报告和数据的方法。
- 将威胁数据提供给 Elastic AI Assistant 以获取适当的模板。
- 提供额外的上下文或数据。
- 分析报告模板中的威胁数据以确保准确性和理解性。
- 提供相关性、影响和任何建议。
- 发布报告。
使用这些工作流程需要对 Elastic AI Assistant 进行一些设置。还提供 Elastic AI Assistant for Security 的特定文档。现在,让我们深入了解这九个步骤中的每一个。
1. 了解所需的报告类型
每个威胁情报计划都会有所不同,报告要求也各不相同。了解利益相关者以及他们将如何使用威胁情报报告对于计划的成功至关重要。有些计划可能只需要一两种类型的报告,而其他计划可能需要更多类型的报告。在 Elastic,我们使用多种类型的模板来满足不同的报告需求。这些包括:
- 情报报告 (Intelligence report - INTREP):INTREP 提供特定威胁的全面概述,包括详细的分析和缓解步骤。这是我们最常见的报告类型。它可以处理从发现新的恶意软件家族到最近更新的威胁行为者策略、技术和程序 (tactics, techniques, and procedures - TTP) 等任何事情。
- 重大活动报告 (Significant activity report - SIGACT):这些报告侧重于特定的重大威胁活动或事件。通常,这种类型的报告将用于描述广为人知的事件,例如大规模数据泄露或地缘政治事件。
- 威胁趋势报告 (Threat trend report - TTR):TTR 分析一段时间内威胁活动的趋势,帮助识别模式并预测未来威胁。TTR 通常源自其他报告类型,当多个报告在一段时间内具有共同特征时,例如重复使用特定 TTP 或发生在一年中某些时间(例如纳税季节)的攻击主题。
- 威胁行为者资料 (Threat actor profiles - TAP):TAP 描述特定的威胁行为者,详细说明他们的 TTP、历史活动和潜在目标。当有关威胁行为者的新信息曝光时,这些报告会定期更新,并帮助分析师了解这些威胁团体的运作方式以及未来的潜在目标可能是什么。
- FLASH 报告:这些报告适用于需要快速传播的主题。通常,FLASH 报告用于在进行额外分析的同时将信息传递给更广泛的受众。一旦完成额外分析,FLASH 报告随后被转换为另一种类型的更长报告的情况并不少见。
2. 创建 Markdown 模板
此流程的第二步是为不同的威胁情报报告类型创建 Markdown 模板。这些模板是一种标准化格式,可确保报告的一致性和全面性。它们还将允许 Elastic AI Assistant 将适当的信息放入适当的位置,从而为分析师节省时间和繁琐的工作。
有多种不同的方法来创建这些模板,但最好的方法是针对每个特定威胁情报程序最有效的方法。在 Elastic,我们使用 Google Docs 使用适合我们需求的品牌、样式、图像和部分来创建模板。然后,我们使用 Google Docs 内置的 Markdown 转换工具将模板转换为 Markdown 格式。
其他威胁情报程序的流程可能看起来不同,但重要的是,所有威胁报告模板都转换为 Markdown,以便 Elastic AI Assistant 可以处理它们。
有趣的事实:如果你需要帮助制作 Markdown 中的模板或特定类型的报告,Elastic AI Assistant 也可以提供帮助!尝试这样说:“你是专业的威胁情报分析师。请帮我开发可用于以下类型的威胁情报报告的模板:情报报告 (INTREP)、重大活动报告 (SIGACT) 和威胁趋势报告 (TTR)。/ou are an expert threat intelligence analyst. Help me develop templates that can be used for threat intelligence reporting of the following types: Intelligence report (INTREP), significant activity report (SIGACT), and threat trend report (TTR).”
你可以微调提示以添加其他报告类型、每个报告所需的特定部分或格式选项。
3. 使用 Elastic AI Assistant 将模板存储在知识库中
创建 Markdown 模板后,下一步是将它们存储在 Elastic AI Assistant 的知识库 (knowledge base - KB) 中。这样分析师就可以在需要时快速检索和使用这些模板。
存储模板的步骤:
- 访问 Elastic AI Assistant:打开 Elastic AI Assistant 界面。这可以通过单击 Kibana 右上角的 AI Assistant 来完成。这将打开一个新的提示。
- 存储模板:有多种方法可以将内容存储在 Elastic AI Assistant 的知识库中以供将来参考。在 8.16.0 版本中,Elastic 对知识库的管理和使用方式进行了一些非常大的改进。现在,将内容存储在知识库中比以往任何时候都更容易,管理项目也很简单:
从 Elastic AI Assistant 中,单击助手窗口右上角的 导航到知识库管理(KB management)页面。然后,单击 Knowledge Base。
从这里,你可以看到已添加到 KB 的所有项目以及右上角的按钮,该按钮可让你直接上传项目。单击 + New 以将项目添加到 KB。这将为你提供如下所示的下拉菜单:
出于我们的目的,选择 Document。有关可以添加到 KB 的不同类型信息的更多详细信息,你可以参考 AI Assistant 知识库文档。
单击 “Document” 将出现一个新面板,你可以在其中直接向知识库添加信息。你需要为知识库条目提供一些特定信息:
-
Name
-
Sharing (permissions)
-
Markdown text
-
Required knowledge
Name 是知识库用来引用项目的标题。因此,在我们的例子中,它类似于 “威胁报告模板:TTR/Threat Report Template: TTR.”。
Sharing 允许我们指定谁将有权访问知识库项目,并且根据个人设置和情况提供许多可用选项(有关知识库权限的更多信息,请点击此处)。在此示例中,我允许所有有权访问该空间的人查看此知识库项目。
Markdown text 字段是我们将粘贴之前创建的 Markdown 模板的地方。
最后一步是选中 “Required knowledge” 框 - 这将允许助手使用这些模板生成报告而无需特定提示。可以不选中此选项,但要求报告的提示需要指定应从知识库中检索内容。选中该框后,单击 Save。
保存知识库项目后,你应该会在 “Security AI settings” > “Knowledge Base” 下看到所有知识库项目的列表。
如果需要进行任何更改,你也可以从此处删除或编辑这些项目。
将项目存储在知识库中的原始方法是直接告诉 Elastic AI Assistant 执行此操作。例如:
使用以下提示存储模板:将以下 Markdown 模板存储在知识库中:<在此处插入 Markdown 模板>/Store the following Markdown template in the knowledge base:
现在,有趣的部分开始了!
- 验证存储:通过查询知识库确认模板已成功存储。尝试以下提示:向我展示存储在你的知识库中的 TTR 威胁报告模板。/Show me the TTR Threat Report Template stored in your knowledge base.
Elastic AI Assistant 应该返回一条消息,向你展示模板,但未填写任何信息:
4. 开发一种收集威胁报告和数据的方法
建立一种系统的方法,从各种来源(例如威胁源、安全博客和事件报告)收集威胁情报数据。这可确保数据全面且最新。这将因程序而异,并且至少略微取决于可用的来源。有几种方法可以很好地实现这一点,从手动扫描新闻网站到通过 RSS 源自动执行该过程,甚至将威胁报告导入威胁情报平台 (threat intelligence platform - TIP)。
归根结底,只要有一个收集开源报告和其他威胁数据的流程,它就适用于这些工作流程。在 Elastic,我们有一个流程,它使用 RSS 源将开源报告和威胁数据汇总到一个可以系统地使用的地方(请留意即将发布的另一篇博客,了解我们如何做到这一点!)。
拥有一个明确的流程来收集这些信息可以提高流程的效率,并提供许多与外部威胁形势相关的有趣分析机会。
5. 将威胁数据提供给 Elastic AI Assistant 以获取适当的模板
下一步是将正在分析的特定威胁文章中的信息提供给 Elastic AI Assistant — 手动或自动方式(查看这些示例以获得灵感)。这就是奇迹发生的地方。提示应该是这样的:
“使用存储在知识库中的 <模板名称> 模板,分析以下信息并根据信息创建新的 <报告类型> 报告。/Using the
